前言
在安全领域的人一定都听过入侵检测,那么本篇文章就来看看入侵检测一般都是通过什么模式来进行检测的。
实际上入侵检测最常见的模式就是特征检测与异常检测两种模式。
特征检测
特征检测是一种确定性的描述方法,对已知的攻击或入侵方式进行描述,形成相应的事件模式。通过比较网络或系统活动与已知的攻击特征(也称为签名)来发现攻击。例如日志中出现了大量的ssh登录失败的告警,那么我们就认为可能存在ssh暴力破解;还有某病毒会在/tmp目录下创建特定的文件等等特征。特征检测被大量的使用在各个检测场景中。
优点:低误报率,可以确认发现已知攻击
缺点:无法检测新的攻击方式
例如下面的一些特征
异常检测
异常检测是一种定义一个主体的正常行为,那么不属于正常行为的操作可能就是有问题。
这种方法通过建立正常活动的活动简档,并将当前主体的活动状况与活动简档进行比较。当违反其统计模型时,认为该活动可能是入侵行为。
优点:可以发现新的攻击方式
缺点:建立和更新活动简档以及设计统计模型比较困难,误报率高
前一段时间看了一个微隔离的产品,用的就是这种思想,首先通过客户端统计各个主机之间的联系,建立正常的活动档案,然后出现预期以外的连接就认为是异常的。
其它的检测模式还有行为检测,机器学习检测,混合检测等等
常见的入侵检测产品
-
网络入侵检测系统(NIDS)
NIDS是一种监视整个网络流量的IDPS。它可以发现网络攻击,例如拒绝服务攻击,扫描,或者僵尸网络。
2.主机入侵检测系统(HIDS)
HIDS是一种监视单个主机(例如一台服务器或工作站)的IDPS。它可以发现主机级别的攻击,例如恶意软件,特洛伊木马,或者权限提升。
3.网络入侵防御系统(NIPS)
NIPS不仅可以发现网络攻击,还可以阻止它们。例如,如果NIPS发现一个拒绝服务攻击,它可以阻止攻击流量,保护你的网络。
4.主机入侵防御系统(HIPS)
HIPS不仅可以发现主机级别的攻击,还可以阻止它们。例如,如果HIPS发现一个恶意软件,它可以阻止恶意软件的行为,保护你的主机。
原文始发于微信公众号(信安路漫漫):入侵检测的常见模式
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论